MobileIntern

MobileInter to nowe wcielenie kodu odpieniacza Inter, funkcji niezwykle popularnej wśród cyberprzestępców Magecart. Twórcy MobileInter wykorzystali Inter jako podstawę, ale dalej zmodyfikowali i rozszerzyli jego funkcjonalność, aby lepiej odpowiadała określonym celom. Rzeczywiście, MobileInter jest wykorzystywany wyłącznie wobec użytkowników mobilnych. Biorąc pod uwagę samą wielkość wydatków online, które mają miejsce na urządzeniach mobilnych, nic dziwnego, że gangi Magecart również dostosowują swoje działania, aby je wykorzystać.

Charakterystyka MobileInter

Główne aspekty MobileInter to skupienie się na użytkownikach mobilnych oraz możliwość zbierania danych logowania i danych dotyczących płatności. W czasie, gdy badacze z RiskIQ śledzili zagrożenie, zaobserwowali wyraźną ewolucję technik wykorzystywanych do eksfiltracji danych i zapobiegania ich wykrywaniu.

Pierwsze warianty MobileInter pobierały obrazy z GitHub, które zawierały eksfiltracyjne adresy URL. Późniejsze iteracje porzuciły repozytoria GitHub i zaczęły przenosić adresy URL eksfiltracji w swoim kodzie skimmera. Co więcej, najnowsze wersje MobileInter wykorzystują WebSockets do przesyłania danych.

Ponieważ podmiot zajmujący się zagrożeniami stojący za MobileInter jest zainteresowany atakowaniem tylko użytkowników mobilnych, wyposażył swoje narzędzie do złośliwego oprogramowania w wiele testów mających na celu ustalenie, czy transakcje płatnicze są dokonywane na odpowiednim urządzeniu. Na początek zagrożenie przeprowadza sprawdzanie wyrażeń regularnych względem lokalizacji okna, aby rozpoznać, czy strona kasy jest obecnie otwarta. Następnie to samo sprawdzenie wyrażenia regularnego próbuje również sprawdzić, czy agent użytkownika jest ustawiony dla jednej z kilku przeglądarek mobilnych. MobileInter śledzi również wymiary okna przeglądarki i dopasowuje je do tego, czego oczekuje się od przeglądarki mobilnej. Jeśli kontrole przyniosą pozytywny wynik, szkodliwe oprogramowanie przeszukuje docelowe dane i eksfiltruje je za pomocą szeregu funkcji.

Techniki unikania

Aby zamaskować swoje nikczemne działania, MobileInter nadaje swoim funkcjom nazwy naśladujące nazwy legalnych usług. Na przykład funkcja rumbleSpeed, która określa szybkość, z jaką przeprowadzana jest eksfiltracja danych, została zaprojektowana jako część wtyczki jRumble dla jQuery.

Jeśli chodzi o domeny wykorzystywane w operacji, oni również używają legalnych usług jako przebrania. Wśród wielu domen związanych z zagrożeniem, niektóre podszywają się pod jQuery, Amazon, Alibaba itp. Najnowsze operacje MobileInter są całkowicie wzorowane na usługach Google, w tym na adresach eksfiltracyjnych i adresie URL WebSocket, który maskuje się jako Google Tag Manager.